Назад | Перейти на главную страницу

Конечные точки Cisco VPN отключаются от VLAN

У меня есть несколько Cisco ASA 5505 и PIX 506e по всему миру, выступающих в качестве конечных точек VPN. Они подключаются к Cisco VPN Concentrator 3000 в штаб-квартире. Я использую Easy VPN для настройки VPN (т.е. большая часть конфигурации находится в центре внимания концентратора VPN). Большинство конечных точек работают абсолютно нормально.

Однако есть три, которые этого не делают. 2 ASA и 1 PIX отключаются от одной из VLAN в нашей сети. Это VLAN, на которой работает мой сервер мониторинга, поэтому эти конечные точки выглядят так, как будто они вышли из строя. Однако я все еще могу пинговать конечные точки из нашей пользовательской VLAN. Если я затем подключусь к конечной точке по SSH и сделаю пинг на моем сервере мониторинга, соединение вернется. Затем примерно через 10 минут он снова перестает работать.

Я посмотрел на конфигурацию своих конечных точек и не вижу существенных различий. Одна общая особенность заключается в том, что затронутые конечные точки подключаются к Интернету через маршрутизаторы розничного качества. Однако я не понимаю, как это может повлиять на трафик в туннеле VPN.

Есть идеи или предложения? У меня также есть ветка на форумах Cisco по адресу https://supportforums.cisco.com/thread/344638. Еще один человек сообщил о той же проблеме.

Я думаю, вы хотите сказать «подсеть» везде, где есть «vlan». Я не думаю, что vpn3k даже поддерживал назначение туннелей vpn для vlans. если вы используете раздельное туннелирование и выдвигаете 2 разных маршрута для каждой из этих подсетей, то на пикселе вы получите 1 ассоциацию безопасности ipsec для каждой подсети.

Похоже, что по какой-то причине время истекло ..

Я не уверен, почему это могло произойти, но я знаю, что использую эту конфигурацию в течение многих лет без проблем:

vpnclient server server1 server2
vpnclient mode network-extension-mode
vpnclient nem-st-autoconnect
vpnclient vpngroup group password ********
vpnclient username user password ********
vpnclient management tunnel mana.geme.nt.subnet 255.255.255.0
vpnclient enable

Это отличается от используемой вами конфигурации?